achine权限，因而，你不要设想去做越权的事情，如启动 telnet、木马等;

　　2.url的跳转下，你将拥有超级用户的权限，好好利用吧 :-)
　　这个漏洞在WIN2000 SP1中已经修改，因此，实际网络中存在此漏洞的机器几乎没有，但是 ，据说紫光2.3版本、超级五笔的输入法中又发现此漏洞。
　　解决方法
　　1.打补丁;
　　2.删掉相关输入法，用标准就可以;
　　3.服务中关掉：Terminal Services，服务名称：TermService，对应程序名：system32 \\termsrv.exe;
　　如果对方已经修改了输入法漏洞，那么只能通过猜解目标管理员口令的方法来尝试远程登陆 。
　　5632/4899：PCANYWERE和RADMIN
　　这是两种远程控制软件，使用方式与远程终端访问类似，都支持图形化界面对远程计算机进 行管理，设计的初衷是为了让管理员能够更方便的管理设备，但这些软件，特别是RADMIN， 可以设置其在安装时，不出现任何提示，这种方式使RADMIN更多的被做为一种木马使用。攻 击者会注意扫描这些端口，因为一旦破解了相应口令就可以象操作本地计算机一样控制目标 。
　　23：猜解ADSL MODEM口令
　　很多时候，扫描只能得到一个23端口，不要沮丧，因为对于个人主机而言，这往往是因为目 标主机采用了一个ADSL MODEM上网。一般用户在使用ADSL MODEM时，往往未加设置，这时， 攻击者往往可以利用ADSL MODEM的默认口令，登陆ADSL，一旦登陆成功，就有可能窃取ADSL 帐户和口令，并可以查看到内网的IP地址设置，并通过配置NAT映射将内网PC的相关端口映 射到公网上，然后对其进行各种破解、攻击。
　　特洛伊木马
　　扫描端口、通过各种方法获得目标主机的用户权限之后，攻击者往往利用得到的权限上传执 行一个“木马”程序，以便能够更方便的控制目标主机。
　特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系 统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统 。实际上，对于各种个人主机，在未开放端口和打全补丁后，最有效的攻击方式还是“木马 ”程序。攻击者往往利用捆绑方式将木马程序与一个普通的EXE文件、JPG或其他正常文件绑 定在一起，并利用“社会工程学”的方式，欺骗对方执行程序、查看图片等。在对方执行程 序、打开图片后，木马程序就悄无声息在用户的PC上执行，并将用户的一些相关信息通过 EMAIL或其他方式发送给攻击者，而攻击者则可以通过木马程序实施对用户电脑的控制，比 如控制文件、注册表、键盘记录甚至控制屏幕等。
　　在早期，木马程序程序隐藏的并不深，通过查看任务管理器就会发现系统内存在不明程序在 运行，并且木马程序还会在用户主机上监听特定端口(如冰河的7626)，等待攻击者的连接 。典型的早期木马如BO、BO2000、SUBSERVEN、国产的经典木马“冰河”等……这种方式的 木马容易被发现，而且被攻击目标也必须连接在公网上，因为客户端是无法透过NAT、防火 墙连接到内网的用户的。
　　反弹端口类型木马，“广外女生”木马是国内出现最早反弹端口类型的木马，这个木马与传 统的木马不同，它在执行后会主动连接外网的攻击者的相关端口，这种方法就避免了传统木 马无法控制内部用户的弊端(因为防火墙一般不会对内部发出的数据做控制)。此外，“广 外女生”还会自动杀掉相关杀毒程序的进程。
　　传统木马在执行后会作为一个进程，用户可以通过杀掉进程的方法关闭，而现在的木马则会 将自己注册一个系统服务，在系统启动后自动运行。甚至会通过DLL注入，将自己隐藏在系 统服务身后。这样用户查看进程的时候既看不到可疑进程，也看不到特殊服务……典型代表 “灰鸽子”“武汉男生”。
　ASP木马，典型代表“海阳顶端网木马”。随着ASP 技术的发展，网络上基于ASP技术开发的 网站越来越多，对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。但 是基于ASP技术的木马后门，也越来越多，而且功能也越来越强大。ASP程序本身是很多网站 提供一些互动和数据处理的程序，ASP木马则是利用ASP语言编制的脚本嵌入在网页上，当用 户浏览这些网页时会自动执行相关ASP脚本，被木马感染，这种方式更加简单和隐蔽，需要 注意的是，ASP木马往往是依靠IE浏览器的一些漏洞来执行的，因此给IE打补丁是防范ASP木 马的方法之一(当然并非万能，还有一些木马会利用IE的未知漏洞传播)。
　　清除日志
　　攻击者在取得用户权限后，为了避免被发现，就要考虑清除用户主机的相关日志，因为日志 系统往往会记录攻击者的相关攻击过程和信息。
　　Windows2000的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等，可能会根据服务器所开启的服务不同。
　　一般步骤如下:
　　1.清除IIS的日志。
　　可不要小看IIS的日志功能，它可以详细的记录下你的入侵全过程，如你用unicode入侵 时ie里打的命令，和对80端口扫描时留下的痕迹。
　　1. 日志的默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志 。那我们就切换到这个目录下吧，然后 del *.*。但由于w3svc服务还开着，日志依然还在 。
　　方法一: 如有3389可以登录,那就用notepad打开，按Ctrl+A 然后del吧。
　　方法二: net 命令
　　C:\>net stop w3svc
　　World Wide Web Publishing Service 服务正在停止。(可能会等很长的时间，也可能 不成功)
　　World Wide Web Publishing Service 服务已成功停止。
选择先让w3svc停止，再清除日志，不要忘了再重新打开w3svc服务。
　　C:\>net start w3svc
　　2. 清除ftp日志
　　FTP日志默认位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日 志，清除方法同上。
　　3. 清除Scheduler日志
　　Scheduler服务日志默认位置：%systemroot%\schedlgu.txt。清除方法同上。
　　4. 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\sys tem32\config 。清除方法同上。
　　注意以上三个目录可能不在上面的位置，那是因为管理员做了修改。可以读取注册表值 得到他们的位置：
　　应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的
　　HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
　　Schedluler服务日志在注册表中的
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
　　5.清除安全日志和系统日志了，守护这些日志的服务是Event Log，试着停掉它!
　　D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog

真不容易 发了几个了